新产品标准化大纲

《新产品标准化大纲》是指导型号工程标准化工作的基本文件。在型号研制中具有如下重要作用：（1）承前启后，指导后续阶段的标准化工作。落实武器装备“研制总要求”、“总体技术方案”等顶层文件和订购方提出的实施标准要求和其他标准化要求，系统地规定工程研制阶段、定型阶段的标准化工作的目标和任务

评估测量的可靠性

在测量中可以避免随机误差，从而提供前后一致的数据的程度。

一般所说的“可靠性”指的是“可信赖的”或“可信任的”。我们说一个人是可靠的，就是说这个人是说得到做得到的人，而一个不可靠的人是一个不一定能说得到做得到的人，是否能做到要取决于这个人的意志、才能和机会。同样，一台仪器设备，当人们要求它工作时，它就能工作，则说它是可靠的；而当人们要求它工作时，它有时工作，有时不工作，则称它是不可靠的。

根据国家标准的规定，产品的可靠性是指：产品在规定的条件下、在规定的时间内完成规定的功能的能力。

在《建筑结构可靠度设计统一标准》中是指，“结构在规定时间内，在规定条件下，完成预定功能的能力”。

对产品而言，可靠性越高就越好。可靠性高的产品，可以长时间正常工作（这正是所有消费者需要得到的）；从专业术语上来说，就是产品的可靠性越高，产品可以无故障工作的时间就越长。

参考：/basic/glossary/200612/57.html

可靠性在中小企业的应用

测试产品可靠性指标的试验就是可靠性试验。可靠性试验中常常是几种方法是周而复始地循环，并且一个循环比一个循环产品的可靠性水平向上增长，另外可靠性试验除通过系统试验外，还应根据具体情况通过气候环境试验、机械环境试验和人为正常使用等各方面的试验来暴露产品生产的薄弱环节，进行综合的科学分析，做相应的改进，使得产品在设计研制阶段对其固有可靠性有进一步的提高。目前能实施产品可靠性试验的实验室主要是大国企如航天环境可靠性试验与检测中心、航天33所及少数的民营企业如环境可靠性与电磁兼容试验服务中心（北京梓恺兴业科技有限责任公司）等，各地计量质检单位也逐渐配套相关可靠性测试设备，可靠性的发展得到空前提高。

目前北京有大量的军工或民用企业、研究所具有可靠性试验设备，在长三角、珠三角制造业发达地区或者成都西安军工企业聚集地区也有大量的可靠性实验室，华南地区私营可靠性实验室也逐渐增长，最有代表性的实验室为一通检测（TTS），其不但在环境可靠性方面专业性较强，并且在关于产品包装运输安全方面（如ISTA）也非常专业。

产品的可靠性设计方法，从表面上看都是技术问题，但实质上包含技术和管理两个方面，没有技术不行，有了技术，如何把技术贯彻到位也会有好多细节该注意。所以本文的可靠性提升方法中也包含进去一些设计管理方法的内容。

中小企业提升产品可靠性的几大难题，经过笔者多年来和各类企业的多位技术管理者的交流，不外乎几个问题：

1可靠性概念太复杂，又是概率又是英文简写的专业词汇，不知道和我的产品有什么直接的联系，不知道这些技术指标如何用于评价产品的可靠性程度；

2可靠性试验一般要求较多的样本数量，公司规模较不大，生产的是专业化设备，批量很小，小批量设备下如何开展可靠性试验摸不着头绪；

3公司每年的营业额不过几百万几千万，没有那么多的资金用于可靠性试验费用和设备的购置；

4公司想提升产品可靠性，也想配备专业技术人员，但这方面技术人员难招到，即使招到大都是外企的背景，要价较高，干了一年多也没什么成效；

5以上措施都不好使时，那就寄希望于设计人员个人的技术水平比较高，设计出的东西能耐用，但是一台机器不能只靠一个人完成，就像木桶盛水多少取决于最短的那块木板一样，机器的整体水平往往在最薄弱的环节暴露故障，我们也不可能保证每个项目的设计者都是梦之队成员。

6请专家帮助，如大学、科研院所、华为、中兴等大的机构的人员来进行指导，最后的结果往往不了了之，似乎是在听天书，专家说的全对，就是没办法实施，对中小企业这也是现状，也让人困惑无从下手。

以上这些问题，有些是我们中小企业管理者的错误认识，有些是我们的企业现状的无奈，还有就是国家整个的产业技术环境造成的，我们不必怨天尤人，在迷茫中立足于企业现实开始我们的产品可靠性提升之旅。

产品可靠性问题出现的原因分为两个，一个是设计的可靠性（也称固有可靠性）是否好；一个是固有可靠性在生产使用中是否能得到技术管理保障。现在大多数学者的可靠性研究集中在可靠性保障方面，中小企业技术管理者的几点困惑就是这种现象导致的，可靠性保障似乎成了可靠性的全部，但中小企业的现实是产品的固有可靠性设计的就很不好，后面再怎么保障能使可靠性维持在较高水平呢？设计是产品可靠性的基础，对军工企业、大企业，他们的设计可靠性是可以保证的，然后再讲可靠性试验、预计、保障是对的，但中小企业产品的设计可靠性就不好，就该把重心放在产品可靠性设计的技术方法和设计控制管理上才对。以下的方法就是基于这个基本思路展开。

1基于产品故障的失效分析和失效预防

产生上面几条感慨的企业一般都有几年的时间了，对于这种企业，其实掌握着一个宝藏，对这个宝藏妥善利用了，产品的可靠性将有非常明显的提升。这个宝藏就是过去几年的投诉记录和质量分析记录。对这些记录统计，组织分析原因，实验确认这些原因确实是导致失效的因素，然后研究出预防措施，余下的就是在公司运营中确保预防措施被执行了。做到了这几点，产品的可靠性提升将是显而易见的。这个分析和

试验的过程会涉及一些较高难的技术方法，但依常规80%以上的问题会很容易就被解决的。

以笔者经历的一个案例来说明，一个液体流量阀，里面有一个靠弹簧顶住的截流板，偶尔有客户投诉我们的产品未开机就漏液，原来在研发实验室的时候，没有发生过这问题，技术人员也没太重视，此时就一直拖下去了，后来公司加了项考核指标“投诉问题解决率”（解决的问题数占总投诉比例数的百分数），研发才真正重视起来，开会分析原因（如下图），然

后一项项试验，液体源实验也不用太复杂，塑料桶开个孔，把桶里水的液面抬高，出水管口的管压增大看阀是否漏水，发现不加压就漏，加压漏得更厉害；把截流板拆到另一个阀上试验配合是否紧密，确认了配合没有问题；最后确认换成原来研发用的弹簧，发现不漏液，换回来就又漏；初步确认为弹簧问题，检查弹簧在挂上相同重量的物体后，形变有差异，研发用的弹簧形变小。多次几个不同弹簧验证，确认失效原因是弹簧在多次使用后弹性系数发生变化，而设计图纸上又没有关于这项指标的检验方法，因为没有检测弹簧的工具，并且形变是发生在使用一段时间之后在公司也不好入检。于是找采购人员查厂家的信息，发现研发样件的厂家和批量生产厂家不是同一家，所以就在外购件规格书上对供货厂商进行了指定，制定研发样件的厂家为供应商，并封样，要求厂家按照封样的弹簧的材料、规格和强度等指标供货，公司舍不得买台弹簧拉压测试仪，就通过非技术手段解决，不过后来此类问题也没再发生过。

从这个事例看出，很多问题的分析其实也并不是很复杂，解决问题的预防措施也未必就是改动设计。只要我们肯静下心来，静心分析，解决也并不难。液压变化的实验装置也是大家集思广益的结果。

通过这种方法，有了价值50元钱的电快速脉冲群测试仪、有了价值200元的辐射抗扰度测试仪、有了价值300元的盐雾试验箱，有了我们产品的常见失效模式，然后有了针对性措施，产品可靠性有了明显增长。

这个方法的执行要素有几点：有故障数据和现象记录；有技术分析会议；针对分析的实验；针对试验结论的分析结论；针对结论的预防措施和实施到位。有人说，这么简单，但事实上就是这样简单的事情没做好，最常见问题的两个地方是：针对分析的实验方面不具体；针对试验结论草率下结论。这都是人存在的弱点，不是技术的难度。

总结到一点：针对故障投诉作失效分析，得出失效机理，针对失效机理制定实施预防措施

人员可靠性在系统可靠性计算中占的比重越来越大，人因失误事件的分析及其管理也成为安全管理的重要组成部分。为更加有效、准确地进行人员可靠性分析和人因失误事件的管理，提高系统的安全性，建立一个人员可靠性分析及人员可靠性数据管理系统是非常必要的：首先为人员可靠性分析和人因事件管理提供一个有用的计算机辅助工具；再者通过建立具有一定规模的人员可靠性数据库，以便为今后进一步的研究提供良好的数据支持。笔者简述了该系统的一些基本原理和实现的主要功能。

1 引言

在现代社会中，人因失误在系统安全中的重要性越来越受到重视。由于随着机械、电子部件可靠性的不断提高，系统安全越来越取决于人的行为。然而人的可靠性及其研究(人员可靠性分析），一直是世界各国可靠性问题专家攻克的一大难题。在这方面，国际原子能机构（IAEA）和美国核管会（NRC）曾做过大量的工作，包括对人员可靠性分析方法的研究和建立有效的人员可靠性数据库[1]。传统方法将机械、电子设备的可靠性分析方法移植到人员可靠性分析中的做法虽有其一定道理和易行性，但至少存在两方面的问题。 一是机械、电子设备由于长期的积累，已有大量可用的可靠性数据，而有关人的可靠性数据，相对而言要少得多，在实践中也更难以收集；

二是简单地将机械、电子设备可靠性研究方法移植到人员可靠性分析中，其合理性仍受到专家、学者的置疑。

计算技术的飞速发展让人们看到了人员可靠性分析工作的曙光。计算机发明以来，一直试图模拟人脑的计算、思维方式；而人们进行人员可靠性分析，也是要充分了解人的思维、行为方式，然后对人的行为进行某种程度的预测和评估。因而可以利用计算机领域的专家们多年积累的关于人的智能方面的知识（如人工智能、模拟和仿真等），将其引入到人员可靠性分析领域，在某种条件下，让计算机来模拟人的行为，从而对人的行为做出更准确的预测。数据库技术和网络技术的发展，给人们提供了前所未有的处理大量数据的能力，充分利用收集世界各地的人因数据进行有效的分析，从而更深刻地发现人的思维和行为的规律性。

2 人员可靠性分析的难点

由于人具有生理和心理因素，并且与系统和周围环境交互性和相关性，导致在某种程度上人的行为不象机械电子设备那样具有确定性，并难以进行定量化描述。因此，对一个复杂系统中人的可靠性的分析相对于对机械、电子部件的可靠性分析就要难得多。目前，许多行业或企业都建立了人员可靠性数据库，但由于数据来源的“匮乏”和缺少对数据有效的、规范化的处理及分析，人员可靠性数据库在人员可靠性分析以及人因工程所起的作用受到很大的限制[2，3]。

人员可靠性分析存在的主要困难可归纳如下：

（1） 缺乏可信的、规范化的大量的数据支持；

（2） 分析方法不足，以往的一些人员可靠性分析方法及其所基于人的认知行为模型，往往不能全面地反映人的行为，因而分析结果难免失之偏颇；

（3） 基于大量现实人因数据或实验数据的人员可靠性分析，需处理的数据量和考虑的因素太多，靠手工处理不仅繁杂，也不方便；

（4） 分析的结果难得以验证，分析结果也很难得到有效的再利用或再验证；

（5） 随着实时概率安全分析（Living Probabilistic Safety Analysis）在大型工业系统中的应用，作为其中重要的部分，人员可靠性分析也面临越来越高的要求。而实时人员可靠性分析（Living Human Reliability Analysis）亦会成为现实性的需要；

（6） 人员可靠性分析过多依赖于专家判断或人员可靠性分析者的个人特性，使得人员可靠性分析标准化程度太差，人员可靠性分析结果的一致性不好，作为一种实用的工程技术来说，就难以接受的。 以上困难，必须在人员可靠性分析理论研究基础上，结合数据库技术，人工智能（推理逻辑），及计算机模拟和仿真技术，构造一个基于大量数据的计算机辅助人员可靠性分析及人员可靠性数据管理系统

[3~5]，上述问题才有可能得以解决

为此，笔者结合某核电站的实际情况，开发了一套人员可靠性分析及人员可靠性数据管理系统，以期为该核电站的人因事件管理工作及概率安全分析项目（PSA）提供有力的支持和有益的帮助。

3 系统的功能需求

3．1 系统对数据库的要求

作为人员可靠性分析不可或缺的基础，迫切需要一个有一定规模的、经长期实践（实验）检验的可信赖的数据库的支持。该数据库应具备以下特点：

（1） 数据库设计遵循统一的标准，规范性好，数据格式统一，易与国际上和国内已存在的一些类似数据库系统（如其他的可靠性数据库）进行数据交换。

（2） 初始建库时，数据库应达到一定的规模，这对当前的应用才有一定的价值，因为基于贫乏数据所做的人员可靠性分析是缺乏说服力的。

（3） 由于人因数据的特点，人员可靠性数据库在使用中应不断地更新，包括修正以前不够准确的数据和增添新的内容，最好能够从某些工业运行系统中实时地采集数据，以保持数据量持续、快速增长，大样本数据才能较准确地反映事物的规律。

因此，系统应有数据录入、修改、采集、浏览以及数据库正确性检验的功能。

3．2 系统应具有人员可靠性及人因事件定性分析功能

系统应能对已发生的一些人因事件进行分析，从中找出该人因事件发生的根本原因，亦能根据现实情况，预测可能发生的人因事件。在具体实现时参考人员可靠性分析方法CREAM（Cognitive Reliability and Error Analysis Method）[6]，并对其进行必要的扩展和改进。

3．3 系统应具有人员可靠性及人因事件定量分析功能

对人因事件计算其发生的概率，以充分满足LPSA的需要。具体实现时可参考CREAM中的定量分析方法和THERP+HCR（Technique of Human Error Rate Prediction，Human Cognitive Reliability）定量分析方法[2，7~8]。

3．4 系统应具有对外来及现有数据进行维护和再分析的功能。

4 系统涉及的定性、定量分析基本模型和方法

在人员可靠性分析系统中，涉及两种重要的人员可靠性分析方法，以下对其做一简要介绍。

4．1 CREAM定量分析法

CREAM是Erik Hollnagel建立起来的人员可靠性分析方法。它有其独特的认知模型、前因－后果分类方案和分析技术，既可进行回溯性分析，又可进行预测性分析。该法考虑到与概率安全分析（PSA）的结合，提供了一种较好的定量化的方法，可将HRA有机地融入PSA。CREAM的另一个显著特点是把对人的行为的描述置于一个环境背景中（Context），并在分析的早期阶段就考虑环境背景对人的绩效的影响。

4．1．1 模型

CREAM的认知模型称为COCOM模型（Contextual Control Model）。该模型把人的行为按认知功能分为4个基本的类，即观察（Observation）、解释（Interpretation）、计划（Planning）、执行（Execution）。人的行为是在现实的环境背景下，按照一定的预期目的和计划进行的，但是，人又根据环境背景的反馈信息随时调整自己的行为，这是一个多次交互的循环过程。在COCOM模型中，环境背景用控制模式（Control model）来描述，可分为4种控制模式，即混乱的（Scrambled）、机会的（Opportunistic）、战术的（Tactical）、战略的（Strategic），分别表示不同环境背景下对人的行为影响的程度。

4．1．2 分类方案

分类方案定义了后果和可能前因之前的联系，形式类似于产生式规则，因而很容易利用计算机方法进行处理。后果和前因之间可相互转换，如某一后果的一个前因，可能又是另外一个前因造成的后果。 前因又分为一般前因和特殊前因。一般前因指导致某一后果的比较概括的一个前因；而特殊前因则是在各种条件非常确定的情况下，一个非常具体的前因。即一般前因是在许多条件还不确定的情况下，许多同类特殊前因的一个总称。分类方案是CREAM分析技术实施的基础。由于分类方案在CREAM方法中的基础作用，因而其正确性、完备性和有效性是非常重要的，而且其内容针对不同的行业领域也有所区别。在系统实现时，必须根据应用领域的特点，对其进行扩展并进行正确性、完备性和有效性验证。

4．1．3 分析技术

CREAM的分析技术有两种，即回溯性分析和预测性分析。前者主要用于事故和事件分析，从事故现象（模式）推导出造成事故的原因；而后者主要用于人员可靠性分析和预测可能发生的人因失误。

4．2 THERP+HCR定量分析法

THERP+HCR分析技术是综合THERP和HCR两种方法的特点而成的方法[2]。THERP模式主要基于人因可靠性事件树模型，它将人因事件中涉及的人员行为按事件发展过程进行分析，并在事件树中确定失效途径后进行定量计算。人因可靠性事件树描述人员进行操作过程一系列操作事件序列，按时间为序，以两态分支扩展，其每一次分叉表示该系统处理任务过程的必要操作，有成功和失败两种可能途径。因而某作业过程中的人因可靠性事件树，便可描述出该作业过程中一切可能出现的人因失误模式及其后果。对树的每个分枝赋予其发生的概率，则可最终导出作业成功或失败的概率[7]。

HCR是用来量化作业班组未能在有限时间内完成动作概率的一种模式[8]。它基于Rasmussen的三级行为模型，将系统中所有人员动作的行为类型，依据其是否为例行工作、规程书情况和培训程度等情况，分为技能型、规则型和知识型三种。同时它认为每一种行为类型的失误概率决定于允许操作人员进行响应的时间t 操作人员执行时间T1/2之比，且遵从三参数的威布尔分布：

式中，α、β、γ——与行为类型有关的参数。

对THERP和HCR分析可知，两种模式各自解决问题的侧重点是不同的。前者主要针对与时间无关的序列动作；而后者的着眼点恰在与时间密切相关的认知行为上。然而，在现代复杂人－机系统中，人员的行为是多样的。例如，在核电站，当一个需要操纵员响应并干予的事故发生后，操纵员首先要依据各种信息，如报警、显示、记录等对事故进行诊断，并进入相关事故规程，继而按规程的要求实施具体的操作干预。一般而论，复杂人－机系统中人的行为均包括感知、诊断和操作3个阶段。若只用THERP，则可能使人因事件中事实存在的“诊断步骤”度量太粗糙；若只用HCR，对具体操作，又不如THERP可反映出各类操作的不同失误特征。因此，较好的方法是THERP与HCR相结合，在诊断阶段，用HCR方法对该阶段可能的人员响应失效概率进行评价，而对感知阶段和操作阶段中可能的失误用THERP方法评价，两者相互补充，共同构成一个有机整体。

5 系统的总体结构设计

5．1 数据库结构设计

部分数据表中的字段有中、英文两种方式，以便在某些时候使用起来会更方便。主要有以下几大类：

（1） 基本人误数据表类。来源于以前的研究者在长期的研究和实践中总结出来的人误数据，主要包括CREAM方法中提供的数据，以及THERP手册和HCR手册中提供的各类人误数据。以及笔者通过模拟机实验得出的数据和核电站运行实践中统计归纳出来的一些典型的人的行为数据。

（2） 各种前因、后果描述表类。来源于CREAM主法中对各种人因事件的前因、后果的描述。

（3） 前因－后果联系及概率表（知识库）类。来源于CREAM方法中定义的各种原因－结果联系，以及笔者根据核电行业特点补充的一些联系。联系是多对多的网状结构。

知识库分两类：①后果与一般前因的关系知识库，②后果与特殊前因的联系知识库。

（4） CREAM中的其他表[包含如影响人的行为的一般绩效条件（Common Performance Condition，CPC）的定义、描述，认知行为的描述类，认知功能失效的描述类等]。

（5） 核电站特定人因事件的概率类。来源于核电站的PSA（概率安全分析）报告中的人员可靠性分析结果。

（6） 人因事件档案类。记录来自核电站在以往运行中发生的人因事件（通过数据采集），并用来保存每次利用本系统所分析的人因事件的结果。

5．2 系统结构设计

系统采用客户/服务器（C/S）+浏览器/服务器（B/S）方式实现。数据全部存放在服务器上。在客户端，较专业的用户（如人员可靠性分析或PSA分析者）使用专业的客户端界面进行人因事件的定性、定量分析及数据库的维护工作，因为这一部分需要一定的专业背景。而浏览器作为另一个数据访问工具，提供给非专业用户如管理人员等进行一些人因数据的查询及简单的分析工作，如图1所示。

系统服务器的操作系统平台为Windows2000 server或Unix，数据管理系统为Oracle，客户端的操作系统平台为Windows2000或Windows98。通讯协议采用TCP/IP。系统采用数据库应用开发工具

Powerbuilder7.0 和Web开发工具开发。在系统的程序功能实现上，有如图2所示结构。

图1 系统结构图

图2 系统功能模块图

CREAM分析模块和THERP+HCR分析模块以数据库为基础完成人员可靠性分析，同时又将分析结果回送数据库，以便对分析结果再利用。数据维护模块通过录入、修改等完成对数据库的更新，同时又可供浏览、查询数据库。数据分析模块则是通过对大量人因事件档案的深层次的自动分析，以期得出或验证一些隐藏于这些人因事件背后的规律或人的行为规律。另外，系统通过一些接口程序完成从核电站其它的信息系统中采集有关的人因数据。

系统功能实现的技术路径如下。

5．2．1 文件模块

[打印]：将数据库中所保存的人因事件（分析）档案转化为人因事件报告（文本文件）并打印输出。

5．2．2 数据维护模块：

[录入]：根据用户选择，启动相应的数据表的录入模块，以便对原有表进行追加、扩充。

[浏览、查询]；可分为两部分，一为查询人员可靠性分析用到的有关标准数据，以对人员可靠性分析者提供一个辅助的支持；二为根据用户输入的条件，如人因事件的名称、发生日期或人因事件涉及的内容等，在数据库中模糊查询相关的人因事件或人误数据。

[修改]：根据用户输入的条件，取出相应表中的相应记录供用户审查、修改

[导入]：由外部数据库或文本文件中成批导入数据（主要用于利用国外数据或非核电行业的人因数据）。

[采集]：从核电站的运行值班日志，运行事件单，异常事件单以及EFS（经验反馈系统）中动态采集人因事件数据，放入人因事件表中。

[一致性检验]：主要用于对规则库进行检验，检验规则库的形式合法性。如某些规则之间是否存在闭合回路，因为这样在分析时可能会导致死循环。

数据维护模块主要保证数据库的不断更新、增长，在保证数据正确性的同时，持续、快速地扩大数据的拥有量，一则可提高今后分析的可信度，二则为今后更复杂、更高层次的应用做准备。

5．2．3 基于CREAM的分析模块

CREAM分析模块可分为3个子模块：

1） 定性回溯性分析子模块

回溯性分析的主要目的是根据已发生的人因失误事件的描述获得人因失误的原因。它基于笔者扩展的分类表（即核电行业的人因事件后果－前因规则库），根据所观察到的人因失误事件后果，使用后果－前因分类表中所定义的关系来建立可能存在的后果－前因关系路径。系统按深度优先次序，自动搜索所有可能存在的路径，并根据一些限制条件进行取舍。最后将分析过程和结果存入数据中作为人因事件归档。其实施步骤为：根据事故现象的描述，确定失误模式，以此为起点，在分类表所定义的后果－前因联系表中查找相关的条目，以查得的条目所包含的原因作为结果再到后果－前因联系表中，查找相关的条目，依次类推，直至所查得的前因都为特殊前因，分析终止，所得的全部特殊前因就是回溯性分析的结果，即引起事故的根本原因。

2） 定性预测性分析子模块

预测性分析与回溯性分析相反，是从确定的环境背景中去推导出可能的人因事件后果，即最终事故的故障模式。因而分析的终止条件就是遇到一个确定的故障模式。由于在规则库中，前因－后果的对应关系是多对多的关系，因而在分析过程中，经过多次迭代后，分析路径会迅速增长，数目甚至达到使分析成为不可能。所以在分析过程中要充分运用CPC等现场情况对分析路径进行取舍。搜索方法亦采用深度优先搜索。其过程与回溯性分析类似。

3） 基于CREAM的定量预测性分析

定量预测性分析是在定性分析的基础上进一步计算人因失误的概率值。

首先根据COCOM模型的原则，通过调查、访谈等对现场工作环境的了解，确定一般绩效条件（CPC），并由此得出现场工作环境所处的控制模式，该步骤将影响随后的每一个步骤。通过工作分析将一个总的工作任务分解成小的子任务（子动作）；确定每一个子任务（子动作）所涉及的认知行为；确定每一个子任务（子动作）中最可能发生的认知功能失误；根据CREAM中提供的基本认识功能失效概率确定每一个子任务（子动作）的认知失效概率CFP（Cognitive Failure Probability）；用CPC和控制模式去修正CFP。根据前面所得的控制模式，使用不同的权重去修正每一个子任务（子动作）的CFP。

最后根据工作分析和工作步骤构成的结构（并联或串联）计算整体失误率，以便将结果用于PSA。

5．2．4 THERP+HCR分析模块

根据前面对THERP+HCR分析方法的描述，基于THERP+HCR方法的定量分析，首先从工作分析入手，将某工作任务分解为小的子任务。然后确定每个子任务是属于诊断或操作，再分别运用THERP或HCR方法对每一子任务进行分析、计算，最后，累加各子任务的失误概率而得整体失误概率。整个分析过程中的有用信息及结果都再将相应的数据表中归档保存，以便进一步的应用。

5．2．5 数据分析模块

主要完成对数据库大量的数据执行自动的、智能化的分析，该部分将在今后的工作中逐步完善。

5．2．6 帮助模块

提供一个对该系统的简要说明和用户操作指南。

6 结束语

笔者进行的人员可靠性分析及人员可靠性数据管理系统研究，在基本原理、主要功能方面作了较深探讨，并提出人员可靠性分析及数据管理系统的构架总思路。

该系统的建立是将计算技术有效地引入人员可靠性分析的一个尝试，同时通过建立一个初具规模的、规范性的人员可靠性数据库，对于今后的研究工作是很有帮助的。但对一些数据处理方法及分析模型的进一步求精，还有待于更深入的研究，并应及时地将一些理论研究成果计算机化。

可靠性是注重工程应用的学科。当成熟的随机可靠性、模糊可靠性理论和发展中的稳健可靠性理论用于复杂结构时，出现了计算复杂性高、计算量大和理论适用性小的问题。 本文针对上述问题，对包含随机可靠性与模糊可靠性的传统可靠性进行若干改进，以减小可靠性分析与设计的复杂度；在稳健可靠性理论中，提出一种适合于多种(个)凸集模型的稳健可靠性指标，系统地研究了稳健可靠性分析与设计方法，完善了稳健可靠性理论。具体内容如下： (1)引入高阶修正项和概率等效变换，修正一次迭代响应面，建立与多次迭代响应面法精度相仿且计算量更低的改进响应面法；通过偏移均值点，用一组线性响应面近似真实极限状态方程，建立处理高度非线性问题的组合响应面法。拟合综合变量与基本变量的关系，推出基本变量分布参数对综合变量分布参数的影响，利用复合函数求导法则和一次二阶矩敏度分析方法构建失效概率对基本变量的敏度关系。 (2)以模糊随机变量随机化为基础，通过模拟退火算法逐步优化复杂结构各失效模式的重要抽样密度中心，构造加权重要抽样函数进行可靠性分析，建立基于智能优化的复杂结构系统可靠性分析的数值模拟方法。 (3)在凸集模型中定义尺寸参数比例因子，实现多种(个)不确定性凸集模型的多尺度参数向单一尺度参数的映射。定义与失效域相交的不确定性凸集模型的尺寸参数比例因子最小值为

稳健可靠性指标，定义相应的最小值点为设计点，从而建立一种基于极限状态函数的适用于多种(个)凸集模型的稳健可靠性指标。 (4)推导出线性极限状态函数的稳健可靠性指标及其设计点的解析公式。对非线性程度较小的极限状态函数，通过线性化及定义基于凸集模型距离的收敛准则，建立近似求解其稳健可靠性的一阶设计点法。利用数值模拟方法(Monte-Carlo法、改进Monte-Carlo法和Markov链法)，通过引入基于凸集模型距离的收敛准则和不确定变量概率密度函数，对非线性较大的极限状态函数进行稳健可靠性分析。以全局优化算法为基础，依据稳健靠性指标构造优化函数，建立了包含模拟退火算法和遗传算法的稳健可靠性分析优化算法。 (5)通过细化传统响应面法迭代步骤和引入基于凸集模型距离的收敛准则，建立隐式极限状态函数稳健可靠性分析的线性响应面法、加权线性响应面法和二次响应面法。基于试凑法拟合的单隐层BP网络和显式极限状态函数的遗传算法，建立隐式极限状态函数稳健可靠性分析的神经网络法。 (6)建立稳健可靠性优化设计模型，给出通过一阶设计点法进行可靠性分析、通过遗传算法进行优化的稳健可靠性优化设计算法。 (7)以稳健可靠性分析基础，建立基于稳健可靠性分析的随机可靠性分析方法和随机-稳健可靠性分析方法。 通过对传统可靠性分析与设计方法的改进，对适用于多种(个)凸集模型的稳健可靠性指标的定义，及其相应的稳健可靠性分析与设计方法的建立，增大了可靠性分析与设计方法应用于复杂结构的可行性。将建立的各种可靠性分析与设计方法用于某型发动机涡轮盘和某型飞机平尾转轴等复杂结构的可靠性分析与设计中，验证了这些方法的可行性。

小子样可靠性分析是工程中经常遇到的问题，本文在总结国内外对小子样可靠性分析和评估方法研究成果的基础上，对小子样可靠性分析和评估方法进行了更加深入的研究。本文研究了以下几个问题： 1.针对主要疲劳失效模式的识别，研究了一种对数准则，它可以减少遗漏主要失效模式的可靠性。借助单侧容限系数法和对数准则，提出了一种预测大型复杂结构系统安全疲劳寿命的数值方法。 2.首次将Bootstrap方法引入到小子样场合下母体百分位值置信下限的计算中，并与传统的单侧容限系数法和新单侧容限系数法进行了大量的对比计算。本文还发展了一种半参数Bootstrap方法用于计算可靠度的置信下限。 3.基于加权最小二乘和Bootstrap方法提出了一种疲劳寿命三参数P-S-N曲线估计方法。该方法考虑了不同应力水平下对数疲劳寿命方差不等的事实，给出了统计意义下P-S-N曲线的最佳估计。 4.由于小子样疲劳寿命试验数据估计出的P-S-N曲线可能偏于危险，目前，常用置信度-可靠度-应力-寿命曲线(C-P-S-N)提高预测结果的可信性，本文基于Bootstrap方法提出了一种新的估计C-P-S-N曲线的方法。 5.针对结构可靠性分析中功能函数不能显式表达的问题，将支持向量机和支持向量回归机引入到结构可靠性分析中，建立了支持向量机可靠性分析方法。 6.针对非线性隐式功能函数的可靠性分析问题，提出了基于加权线性响应面法与支持向量机/支持向量回归机的组合模型。通过有效的组合加权线性响应面法和支持向量机/支持向量回归机，所提方法在设计点周围获得更好的非线性隐式功能函数的近似，从而提高了非线性隐式功能函数失效概率的估计精度。 7.借鉴经典响应面法的思想，提出了一种支持向量机响应面法。该方法由支持向量回归机替代经典响应面法中的固定多项式函数来构建响应面，并结合一次二阶矩法形成迭代过程。

CPN分析法，GO法和动态故障树的基本原理

CPN即着色Petri网，是一种对系统进行数学和图形描述和分析的

工具。对于并发、异步、分布、并行、不确定性(指人为因素等)和/或随机性特征的信息处理系统有很好的适用性，它使用标记(token)来模拟系统的动态行为和并发活动。作为一种数学工具，它又可以建立系统的状态方程、代数方程以及系统行为的其它模型，可以对其进行量化计算和验算。利用CPN对系统的可靠性和性能进行分析时主要是利用CPN的模块来描述和构造系统的CPN模型。在文献［1～5］中，它共有43个模块，被分成5类：

. 控制类 如“Y”型模块，“源”模块等；

. 颜色类 如“颜色阅读(Read color)”等；

. 故障类 如“故障注入”，“故障设置”等；

. 延迟类 如“故障延迟”等；

. 混合类 如“监控器”等。

利用CPN对系统的可靠性和性能进行分析时有三种解决途径：一是利用CPN模型进行仿真；二是将CPN描述转化成马尔可夫过程，进而通过马尔可夫链进行解析求解，或者转化成故障树；三是利用和CPN模块完全相应的VHDL(即甚高速集成电路硬件描述语言)描述直接进行仿真。 GO法是最早于60年代由美国能源公司针对核电站安全问题进行分析时提出的一种以系统成功为目标的可靠性分析方法，近年来GO法有了长足发展。利用GO对系统可靠性分析时同样首先要建立系统的GO模型，根据文献［6、7］，GO共有17个组成模块，和实际工程中的器件一一对应。换言之，在构造GO模型时，只要清楚了解系统的功能，利用系统的功能流程图就可以直接“搭构”系统的GO模型。GO在计算机处理时，由GO1，GO2和GO3组成，其中GO1主要描述各元器件的输入结构，包括元器件的种(Type)及类(Kind)等，GO2主要描述各元器件的可靠性数据，GO3对GO1和GO2进行处理，采用蒙特卡罗法给出系统的可靠度或有效度的点估计值。

动态故障树分析是一种对故障树分析能力进行了扩展的可靠性分析工具，它以DREDD(Dependability and Risk Evaluation Using Decision

［8，9］Diagram，即利用决策图进行可信性和风险估计)为典型代表。它由

BDD(Binary Decision Diagram，二值决策图)及Coverage模型构成

(“Coverage”此处指老系统出现故障后，该系统能自动恢复的可能性)。DBB是建立在故障树基础上的，构造时，要从故障树的底事件中利用一种优化算法找出一个对系统影响最大的“顶单元”，然后顺次按影响度的大小选取其它底事件排在此“顶单元”后面，直至系统失效。Coverage模型是为了描述系统的容错特性而引入的，因此在BDD上引入Coverage模型后就可以对复杂容错系统进行分析。

2 建造CPN模型、GO模型和动态故障树模型的2个实例

下面应用GO法和动态故障树对某类卫星的姿态发动机燃料管路简化系统建模，另外用CPN对一个简单并联系统建模。

图1描述的系统由氧化剂管路a，阀门b，燃料管路和一个反馈控制

［11］器d组成(燃料及氧化剂供给设备此处略)。这里假定b不会发生故障，

系统的故障判据为“燃料被烧掉而使发动机无法工作”。图2是该系统的GO模型(仅供分析用，此处略去了关于类的内容)。图3为该系统的动态故障树模型，其中0表示系统正常，“0”表示系统“故障安全”(可以将0和“0”均看成“正常”)，1表示系统“故障”。图4是一个简单并联系统的CPN模型。

图1 卫星姿态发动机燃料管路简化系统

图2 图1的GO模型

图3 图1的动态故障树模型

（m表示失效及堵塞，即a和c为三态）

图4 一个简单并联系统的CPN模型

注：FD-故障延迟；FI-故障注入；SF-设置故障；RF-阅读故障；SO-源；SI-潭；RESET-重新设置；Y-Y型；P-系统故障；Q-若故障发生；实线-

数据线；虚线-故障线

3 三种可靠性分析方法的比较

通过以下几个方面我们对这三种可靠性分析方法进行一下比较分析。

(1)适用对象

当前采用CPN建模主要用于数字系统的性能与可靠性一体化分析，分析数字电路的性能参数(时间参数)与可靠性的综合。GO法研究的重点是从系统正常工作的角度，建立与系统功能图等性能设计图形相似的GO图，该法的研究相对成熟，在核工业领域有许多应用。动态故障树突破了传统FTA分析的局限性，用来研究复杂系统的序列相关性、容错特性等问题，主要用于对动态容错系统的功能进行深入的分析。从理论上讲，一般复杂系统均可以借助与之相应的模拟电子系统进行仿真，因此无论是应用CPN、GO法，还是动态故障树，对于一般复杂系统均有较强的适用性。

(2)系统功能描述

在可靠性分析中，对系统的描述方法传统上采用建立可靠性框图或构造故障树的方法。这种方法以“成败”为基础，把组成系统各元器件的“成败”与其对上一级系统的影响按照“与”“或”门等逻辑关系构造起来。换言之，过去对系统可靠性的描述思想是以“器件失效”为依托，而不是把元器件看成一个正在工作的“功能”单元。动态故障树虽然扩展了描述的能力，但仍沿袭传统的故障树描述法，而用CPN及GO法描述时却不同，它们采用与器件功能形式相近的模块来描述系统，把组成系统的各器件看成是正在发挥“功能”的单元。比如图2中，GO用“→③→”描述氧化管路，该模块描述的是一个三态发生器。同样，在图4中CPN用“故障延迟”、“故障注入”“故障设置”、“故障阅读”模块来描述并联系统的单元。

(3)工程适用性

产品的可靠性与性能分析从设计开始一直到定型可用一个统一模型来完成，而不是分别使用性能模型和可靠性模型。这三种方法中的前二种CPN和GO均可以满足这一要求。由于这两种方法在描述系统时均采用模块手段，而各模块又能体现与实际系统的相似性，因此在这样的模型上既可进行系统的可靠性仿真，又可进行系统的性能仿真。而动态故障树的方法则是着重在对序列相关性、容错过程的功能分析、描述、建模上，在进行系统可靠性分析和性能分析时不可避免地采用不同模型来完成。此外在构造CPN模型、GO模型及动态故障树模型时，以GO最为简单明了，只要按系统功能流程图用GO模块搭构即可，CPN还要建造一些控制块，如“Y”模块以产生多个信号，而动态故障树则更加繁琐。

(4)多态性

传统的可靠性分析方法对工程中大量存在的多态性技术难点缺乏有效的分析手段，这是因为传统的可靠性理论以二态(即成败型)为基础。GO则具有分析多态性系统的功能。例如GO模型中的“启动发生

器”(Triggered Generator)，它可以描述阀门的功能：正常工作，失效和提早打开(图2中的c和d就是三态的)，这一现象在核电站中是经常存在的。动态故障树由于引入了Coverage模型，可以描述多态性问题。例如对于容错系统，故障被分成两类，一类叫被发现故障(Covered fault)，另一类叫未发现故障(Uncovered Fault)，见图5。从图5中可

以看出，一个故障并不一定会使元器件失效，对于有些故障，系统可以马上检测到它，并且继续工作，就像没出现过故障一样。因此我们把元器件工作状态不能简单地看成正常与失效。我们用正常，被发现故障，未被发现故障三种方式来描述元器件工作多态性。当前CPN在描述元器件多态性方面还不够成熟，从目前的应用中看，CPN模块在仿真时用来判断被仿真对象是否发生故障的故障域只设置了“True”和“False”两态。

图5 存储器子系统的Covered模型

(5)反映系统的动态特性

由于Petri网具有强有力的数学表达能力，因此CPN在描述系统的动态特性方面有十分独特的优势。CPN与传统的表达方法相比，其表达复杂系统可靠性和性能方面的能力大为改观。它不仅可以用蒙特卡罗法对系统进行仿真，理论上讲还可以将CPN模型转化成马尔科夫过程，从而得出该系统的状态方程。动态故障树的方法则是着重在对序列相关性和动态容错过程的功能分析和描述上，而GO法在反映动态性上则有许多不足。

(6)找出系统故障隐患

原则上讲，这三种分析方法均可以满足这一要求。CPN利用标记(token)在模拟系统中的“流动”来仿真系统的运作。一旦某一系统构成单元发生故障，则此token的故障域即被设置成“True”，因此能实时地找出造成系统性能破坏或系统不可靠的部件。这为可靠性和性能分析提供了实时分析的工具。它的这种特点为GO法和动态故障树法所无法比拟的。应当指明的是，使用GO法和动态故障树法时要求每个被模拟单元均给出可靠性数据，这对有些不遵循一定分布的故障或在没有现成数据的情况下进行分析就比较困难，而CPN则没有这样的限制［5］。

(7)描述非单调关联系统

以图1为例，我们把系统的运作状态分成三类：正常工作、失效和堵塞。当氧化剂管路a出现堵塞，燃料管路正常时，发生燃烧不正常，使偏差偏大，此时反馈控制器起作用，把阀门开大，多送一些燃料。但由于氧化剂管路堵塞，缺少氧化剂，燃烧仍然不好，偏差继续增大，阀

门开得就更大，其结果是卫星上携带的燃料很快就被全部耗尽而造成严重后果。假如在氧化剂管路堵塞的同时，燃料管路也堵塞，或者反馈控制器也发生故障而不去开大阀门，则这样燃料耗尽的后果还是可以避免的。我们把前者叫“故障危险”，后者叫“故障安全”，这种当发生一个故障时系统处于“故障危险”，而再发生一个故障(且同时发生)时系统处于“故障安全”的系统即为非单调关联系统。在反馈系统中这种现象是普遍存在的［11］。

由图2可见，GO法在描述非单调关联系统方面很简单，它完全依据功能流程图进行建模，只要把各组成部分的可靠性数据及输入输出关系明确就可进行分析计算。用动态故障树原则上可以描述非单调关联系统，只是要求对系统的故障机理及各组成部件对系统的影响要十分清楚，如图3所示。应用CPN描述，由于其较强的数学表达能力和逻辑描述能力，理论上它应当可以描述非单调关联系统，但还未见到有应用实例发表。 4 结束语

通过以上对三种可靠性分析方法及实例的比较分析，我们可以看出，这三种方法对传统可靠性理论中很难解决的技术难点，如多态性、非单调性、考虑系统动态性、容错特性等方面，在很大程度上给出一定的解决办法。目前这三种理论仍不很成熟，还处于发展中。

应当指出的是，GO法在建模方面与另两种方法相比最为简单方便，在分析系统的安全运作方面作用尤为突出，它可以同时处理上千个零件的大系统；动态故障树突破了传统FTA分析的局限性，可用来研究复杂系统的序列相关性、容错特性等问题；CPN对于具有并发、异步、并行及随机性特征的信息处理系统有很好的适用性，尤其是在反映系统的实时动态特性方面和对系统的较强数学表达方面是其它两种方法无法比拟的。虽然这三种分析方法具有许多优点，但在实际应用中它们也存在缺陷。GO法和动态故障树法都要求给出各部件的可靠性数据及相关比率，这在实际工程应用中就比较困难(因为我国的工业产品可靠性数据很缺乏)；动态故障树模型中“单元”选取结果不同，因此得到的计算复杂程度差别就很大，虽然有现成算法可以帮助找出合适的“顶单元”，但仍显得十分复杂；此外，该法和CPN法在处理拥有 数千零件的复杂大系统时会遇到计算中“指数爆炸”的问题。

在对以上3种可靠性分析方法进行了比较之后，我们应当看到，它们代表了当今可靠性专业研究领域的新的发展方向，他们在描述系统时采用增强的功能模块化的思想和遵循系统功能流程的原则是对传统可靠性理论的一个突破。努力研究这些方法和理论对我国可靠性技术的研究、应用和发展具有极其重要的作用。

本文来源：https://www.bwwdw.com/article/9gj4.html